作者drkh (eutatosp)
看板AntiVirus
标题[问题] 为何挖矿程式要档 port 445 ?
时间Wed Jun 6 09:53:42 2018
家中网路内, 有一台 Win7 桌机, 其他电脑总是无法与其建立连线以取得它的分享.
後来发现, 原来是因为 IPsec 有一条名为 netbc 的 policy 挡住了 port 445
这个 port 是由 Sever Message Block 使用, 进行 File and Printer Sharing.
将这条 policy 移除就可建立连线了.
上网查这条 policy 的来历, 发现是由挖矿程式 Adylkuzz 建立.
见
https://bit.ly/2JnSjiQ (英文)
这台 Win7 桌机确实在几个月前曾中过挖矿程式, 被我手动清除了. 虽然中的不是
Adylkuzz, 但这条挡住 port 445 的IPsec policy 应该就是那个挖矿程式建立的,
只是当时没被我发现, 所以没清掉.
现在是没问题了. 可是... 为何挖矿程式要挡住 port 445, 不让其他电脑连线呢?
我自己猜, 是为了要防止 CPU 分出一部份时间去照顾其他连线的装置, 可是不确定.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.228.6.218
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1528250027.A.508.html
※ 编辑: drkh (36.228.6.218), 06/06/2018 09:59:54
1F:推 ltytw: 我猜是确保自己是唯一的? 那个应该只挡连入 06/06 13:16
2F:推 DINJIAPC: 为何不弄个双向防火墙管理,例如wfc,tinywall 06/06 14:01
3F:→ enthos: 关闭勒索病毒 WannaCry 攻击的 SMB Port 06/07 10:06
4F:→ drkh: (1) 那条 policy 确实只档连入. (2) 那台 Win7 没啥重要资料 06/07 13:10
5F:→ drkh: 用 Windows Firewall 应该足够了. (3) 关闭 port 445 固然 06/07 13:12
6F:→ drkh: 可以挡住 WannaCry, 但同时也关闭了网路分享的功能, 再说... 06/07 13:13
7F:→ drkh: 挖矿程式为什麽要代人防堵 WannaCry ? 06/07 13:14
8F:→ drkh: 我一直都把上网的 dial-up 连线取消 File and Printer 06/07 13:17
9F:→ drkh: Sharing, 也关闭 NetBIOS over TCP/IP, 这样一来, 上网的 06/07 13:18
10F:→ drkh: 时候, port 445 及 port 137-139 就不会接受来自 Internet 06/07 13:19
11F:→ drkh: 的连线, 可以挡掉包括 WannaCry 在内的许多威胁. 06/07 13:21
12F:→ brianuser: 会不会是他就想偷偷摸摸来怕你中别的去扫毒去重灌 06/07 14:22
13F:推 ltytw: 我认为是预防同业竞争 , 挡了连入,别的对手就进不来了 06/07 15:29
14F:→ dennisxkimo: 透过这门进来 把门关好别让其他的进来 06/07 16:18
15F:→ drkh: "预防同业竞争"... 此言妙极! 我赞同. 06/08 07:24
16F:→ drkh: 不知还有没有他种病毒也会"独占市场"? 06/08 07:25
17F:推 GJME: 有啊 这不少见 特别是那种利用公开漏洞的 入侵之後都会顺便 06/08 11:38
18F:→ GJME: 把port封起来 甚至还会清除早先一步进来的同业作品 06/08 11:38
19F:→ labbat: 最古老的电脑病毒就是两个互相厮杀 06/09 00:07